Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

SpiderOak, een concurrent voor Dropbox die in tegenstelling tot die dienst geheel versleuteld is, heeft zijn abonnementen aangepast. Gebruikers kunnen nu 1 terabyte aan opslag krijgen voor 12 dollar per maand, waarmee SpiderOak nu qua prijzen meer in het vaarwater van Dropbox zit.

Tot nu toe kostte 100 gigabyte aan opslag bij SpiderOak 10 dollar per maand, maar dat abonnement is nu geschrapt. Wie wil upgraden, betaalt 7 dollar per maand voor 30 gigabyte aan opslag of 12 dollar per maand voor 1 terabyte aan opslag, omgerekend 10,50 euro per maand. Het abonnement met 5 terabyte aan opslag kost 25 dollar per maand. Gebruikers kunnen nog steeds kiezen voor een gratis abonnement met 2 gigabyte aan opslag.

SpiderOak biedt ongeveer dezelfde functionaliteit als Google Drive, Dropbox en OneDrive, met een belangrijk verschil: de sleutel waarmee data wordt versleuteld is niet opgeslagen op de server, maar is het wachtwoord van de gebruiker. Daardoor kan SpiderOak niet bij bestanden van gebruikers, mits ze alleen inloggen via de desktopclient. Wanneer gebruikers inloggen via de website of de mobiele app, is het wachtwoord wel korte tijd aanwezig in het geheugen van de SpiderOak-servers.

Met de nieuwe abonnementen is SpiderOak nog steeds iets duurder dan zijn concurrenten, maar het verschil is wel kleiner geworden. Dropbox vraagt 10 euro per maand voor 1 terabyte aan opslag; Google vraagt 10 dollar per maand voor dezelfde hoeveelheid, omgerekend 8,70 euro. Bij die diensten kunnen medewerkers echter wel toegang krijgen tot bestanden van gebruikers, bijvoorbeeld als de politie daar om vraagt. Daarentegen bieden Dropbox en Google Drive automatische back-up van foto's via hun smartphone-apps; SpiderOak biedt dat niet aan.

SpiderOak

Moderatie-faq Wijzig weergave

Reacties (64)

Hmm klinkt goed, totdat:
Wanneer gebruikers inloggen via de website of de mobiele app, is het wachtwoord wel korte tijd aanwezig in het geheugen van de SpiderOak-servers.
Als ik kijk naar mijn Protonmail account, dan is dat niet het geval wanneer ik mobiel inlog. Het lijkt me niet dat dit zoveel anders moet lopen, waardoor er opeens wel wachtwoorden op de server geplaatst moeten worden. of zie ik het compleet verkeerd? Waarom niet gewoon een bestandje in de app die het versleuteld naar de server gooit?
Dit is niet helemaal correct. Je browser verstuurt het wachtwoord geencrypt (via het bcrypt algoritme) naar de Spideroak server. De server encrypt het volgens opnieuw, ook met bcrypt, en slaat het op. De eerste keer dat je inlogt op je PC met de Spideroak-app genereert de app de keys en wordt je wachtwoord opnieuw gehasht (dit keer met PBKDF2). Mocht je dat niet vertouwen dan kan je ook JavaScript uitzetten en dan genereert Spideroak een encryptiecode voor je die je bij het opstarten van de app kan invoeren. [1]

Hoewel de server een hash opslaat van je wachtwoord, is het met huidige technologie zeer lastig om dit te brute forcen, mits je wachtwoord sterk genoeg is.

Zie ook mijn presentatie over Spideroak voor meer informatie over de app en wat performance tests.
Florisjuh,

In je presentatie schrijf je het volgende:

Problem: Hash of password is stored on the Spideroak server and can hence be brute forced
Solution: Do not use the same password for both authorization and encryption

Kan je verduidelijken waarom dit de oplossing is? Is het niet een kwestie van 2x brute force om beide wachtwoorden te achterhalen?

Graag hoor ik van je!
Wat trogdor zei! Overigens is het brute forcen van goede wachtwoorden met sterke encryptie momenteel hoofdzakelijk een theoretisch risico. Qua encryptie zit het wel snor bij Spideroak, maar een sterk wachtwoord vinden is zo makkelijk nog niet. Zelfs als je wat ingewikkeldere wachtwoorden gebruikt die zowel kleine letters, hoofdletters, cijfers en leestekens bevat kan dit relatief gemakkelijk te brute forcen zijn als je wachtwoord aan een bekend patroon voldoet.

Een wachtwoord zoals Hutsp0t!%& is bijvoorbeeld al redelijk gemakkelijk te kraken omdat het voldoet aan bepaalde patronen:
- Gebaseerd op een woord uit het woordenboek
- Hoofdletter aan het begin
- "1337 speak"
- Speciale tekens aan het einde

Zie ook het artikel op Ars Technica over password cracking [1]. De wachtwoorden die hier gecrackt zijn waren overigens gehasht met MD5, wat alles behalve sterke encryptie is, maar met de dalende prijs van hardware wordt het steeds goedkoper om wachtwoorden met sterkere encryptie te kraken.

Mijn mening is dat elk patroon dat je kan bedenken al eerder bedacht is door iemand anders, en door een lijst van wachtwoorden te minen op patronen komen crackers ook achter deze patronen. De beste remedie is daarom om een volledig random gegenereerd wachtwoord te gaan gebruiken, met voldoende entropie. De vraag is immers niet of je wachtwoord gekraakt kan worden, maar hoe duur het is om deze te kraken. Als het veel duurder is om jouw wachtwoord te kraken dan dat het wachtwoord zelf waard is, dan zit je wel goed. Ik gebruik zelf KeePass voor het genereren en beheren van mijn meest belangrijke wachtwoorden.
Florisjuh,

Heel interessante toevoeging. Je hebt me aan het denken gezet over mijn eenvoudige gebruik van patronen in wachtwoorden. Misschien dien ik toch gebruik te gaan maken van volledig random gegenereerde wachtwoorden, met als enige nadeel dat ik het wachtwoord dan niet meer zelf kan onthouden.

Dank je voor jouw toevoeging!
Zelf maak ik al jaren gebruik van volledige random gegenereerde wachtwoorden. Mijn ervaring is dat je dit prima kunt onthouden, als je muscle-memory gebruikt. Gewoon een keer 20 of 30 over tikken en na een tijdje blijft het gewoon hangen. Je onthoud dan simpelweg de beweging van je vingers op het toetsenbord net zo als bij blind typen. Werkt prima.
Volledig random wachtwoorden zijn toch echt te moeilijk om te onthouden.
Ik gebruik zelf en methode of een wachtwword samen te stellen maar het is een lastige: gebruik de eerste letter van ieder woord in een niet veelvoorkomende zin, bijvoorbeeld
ik ben in Nijmegen geboren en hou van Amsterdamse tulpen
wachtwoord:
ibiNgehvAt
ziet er behoorlijk random uit en ik kan het onthouden.
Als de zin lang genoeg is en je inderdaad zowel kleine als hoofdletters gebruikt op lastig te voorspellen plaatsen dan is zo'n wachtwoord ook redelijk sterk. Beter nog om wat letters en speciale tekens erin te verwerken.

Hee! Als je niet binnen 5 minuten ff normaal doet...

H!Ajnb5mffnd

Het mooie van random wachtwoorden en een database is wel dat je voor iedere site een ander wachtwoord kan genereren en deze niet hoeft te onthouden, dus kan je voor iedere site een ander wachtwoord gebruiken. Ik ben al meerdere keren gemailed omdat een dienst die ik gebruik gekraakt is, dan is het niet zo fijn als je op meerdere websites hetzelfde wachtwoord gebruikt. Geloof het of niet, maar er zijn nog steeds websites die wachtwoorden onversleuteld of met MD5 versleuteling opslaan (wat een eitje is om te kraken).

Daarentegen is een lokale database met wachtwoorden ook niet per definitie veilig want dit kan nog steeds achterhaald worden door malware.
Het authorization password gebruik je om in te loggen en staat op hun servers (gehashd).
Het encryption password gebruik je in de client om je data te versleutelen voor je het naar hun servers stuurt, en daarvan staat geen gehashde kopie op hun servers, mits je de webclient niet gebruikt.
Het is theoretisch mogelijk dat ze het gehashte authorization password moeten afgeven aan een geheime dienst of dat het wordt gestolen.
Als je als encryption password het zelfde password gebruikt kan die spion of dief bij je data. Gebruik je een ander password dan hebben ze niets.
trogdor,

Dank je.

Dat was precies het antwoord wat ik zocht. Ik had het zelf niet vanuit dat perspectief bekeken maar je hebt helemaal gelijk.
Bedankt voor de informatie :) Dat maakt het een stuk duidelijker in mijn ogen.
Er zijn trouwens wel een paar "lekken", als je bijvoorbeeld via de web interface Spideroak benadert om je bestanden te downloaden of via je mobiel dan is dat voorzover ik weet niet "zero knowledge".
Jammer dat als je de boel via de API wilt aanspreken ineens de decryptie gebeurt op de servers van SpiderOak. Waarom niet gewoon een client library leveren die pas decrypt op de client net zoals de SpiderOak client dat doet. Op deze manier zijn in principe alle third-party apps die ervan gebruik willen maken minder veilig dan de SpiderOak app zelf.

Zie de API FAQ:
IMPORTANT NOTE: Accessing your data remotely through the web is the only instance when your data does become readable; however, these machines are only accessible by a select number of SpiderOak employees. For continued zero-knowledge privacy we only recommend accessing your data through the SpiderOak client, as it downloads the data before decrypting it.
Dat zou het wel makkelijker maken ja, maar op het moment dat je je eigen app schrijft kan je er altijd voor kiezen om lokaal te encrypten/decrypten met een extra set keys. Het nut van een dienst zoals Spideroak gaat dan alleen wel grotendeels verloren, aangezien je in dat geval net zo goed Dropbox kan gebruiken als opslagmedium.
Dank je voor je uitleg, maar de link naar je presentatie gaat naar een 404.
Elke web app die toegang geeft met een wachtwoord heeft dat probleem. Dus als jouw protonmail een webmail is en beweert nooit je ww te zien dan liegen ze... Ok, er zijn truukjes met JavaScript (maar dat komt ook van de server: schijn veiligheid) of browser plugins (nog de beste oplossing maar dan moet je de bron daarvan wel vertrouwen).
Wacht, 1970GB meer voor $5 extra? Dat is interessant, in elk geval omdat het volledige encryptie heeft. Als je dat niet uit maakt, kun je alsnog beter Dropbox of Google Drive nemen.

[Reactie gewijzigd door jvnknvlgl op 5 februari 2015 09:25]

mega? end2end encryptie
Ook mijn eerste gedachte. Ik merk dat bij veel berichten over cloud storage Mega altijd wordt vergeten. Terwijl zij juist encryptie en veel vrije ruimte bieden. Beste alternatief imo
Een bedrijf van iemand die actief onder verdenking staat van de FBI, om wiens uitlevering is gevraagd en van wie de servers al eens in beslag zijn genomen.

Zelfs al doet hij nu niks fout, dan nog is de kans groot dat de servers + jouw data weer gevorderd gaan worden voor de bestaande onderzoeken. Lijkt me niet echt een goed alternatief voor betrouwbare opslag op dit moment.

Edit: Overigens heb ik wel een redelijk vertrouwen in hun encryptie, maar ik zet gewoon vraagtekens bij hoe lang die data daar blijft staan, ik kan me voorstellen dat die boel weer onderuit gehaald gaat worden.

[Reactie gewijzigd door GekkePrutser op 5 februari 2015 13:37]

Kim is een last-action hero, samen met snowden een uitstervend ras
je bedoelt deze: https://mega.co.nz/

50GB gratis (data staat dan wel bij Kim Dot Kom)...

[Reactie gewijzigd door Tittah op 5 februari 2015 15:51]

Tip: Copy.com biedt 15GB gratis aan die je heel makkelijk naar 20GB kan uitbreiden en heeft ondersteuning voor het syncen van willekeurige folders ipv alleen 1 map op je pc. Volgens mij ook encrypted.
Gebruik het ook. Zit inmiddels al op 102GB gratis(!) opslag en ben er zeer tevreden over.
Wat ik errug jammer vind is dat Copy door bijna geen enkele dienst native wordt ondersteund op de verschillende platformen. Zo gebruikt mijn moeder een Recorder app voor haar werk, die kan alleen naar de bekende diensten syncen, zelfde geldt voor foto apps en dergelijke.
Ja, dat is wel waar. Maar betekent niet dat het niet komt in de toekomst. Misschien komt dat nog wel.
Ik heb volgensmij al een gigabyte of 50 bij Copy, maar het bevalt me net niet goed genoeg dus ik blijf gewoon Google Drive gebruiken. Ik overweeg wel om een $2/mo abonnement bij Google Drive te nemen voor 100GB.
Ik krijg van dropbox al een mail dat de spacerace extra's worden ingetrokken, dus ik denk sowieso wel dat mensen nu meer op zoek gaan naar alternatieven. Als dropbox slim was hadden ze die kado gegeven, nu ben ik al bijna gewend aan de 1TB van onedrive..
Ik ben al een aantal jaar gewend dat mijn hardeschijven niet meer draaien en een 128 en 256GB SSD afdoende zijn, echter heeft DropBox mij ook gewoon 1TB gegeven waarvan ik na al die jaren en inclusief foto's nog net geen 31 GB gebruikt.
Een Cloud dienst uit San Francisco/Kansas City, Amerika.
Met de lokale wetgeving, en de lokale veiligheidsdiensten, die encryptiestandaarden voor gebruik aanpassen en goedkeuren heeft het mijn vertrouwen nog niet gewonnen.

Voor 120 euro per jaar per terabyte, loont het ook je eigen encrypted nas op te zetten, dan heb je zelf controle en inzicht over de firewall settings, en kun je je eigen exotische encryptiestandaarden kiezen.
Je kan ook gewoon je bestanden zelf encrypted er op zetten met encFS of Boxcryptor.
Die Boxcryptor bijv. maakt gebruik van maar 2 standaarden,
AES and RSA Encryption
Van RSA weten we o.a. dit
nieuws: 'NSA betaalde beveiligingsbedrijf RSA voor inbouwen backdoor'
Met decrypten van AES is de nsa ook actief.

Een eigen nas biedt:
  • Eigen controle over de firewall
  • Fysieke controle over de datadrager
  • Controle en vrije keuze in encryptiestandaard
En kan daarnaast op de lange termijn economischer zijn.
Voor een leek als ik, is zo'n eigen NAS een onmogelijke opdracht. En denk ook niet dat ik de enige ben.

Dan zijn dit soort alternatieven heel erg verleidelijk om mijn nude selfies en andere vakantiekiekjes op te bewaren.. ;)
Een nas opzetten is heel makkelijk.
Sterker nog, jij hebt er op dit moment eentje in je handen, of in je rechterbroekzak.
  • Via instellingen->beveiliging & privacy -> codering [aan] &[aan]
  • Daarna instellingen -> Opslag & Toegang -> toegang met Wifi [aan]
Nu heb je een draagbare encrypted nas, die je via bijna elk wifi netwerk waar je opzit kan delen via een beveiligde ftp verbinding kan delen elk apparaat waar je een Link of Blend-client op draait.
Het RSA-algoritme voor asymmetrische encryptie is al decennia bekend en wordt niet beheerd door RSA. RSA wordt gebruikt voor o.a. TLS (beter bekend als SSL) en PGP. Als er in het RSA-algoritme een backdoor had gezeten, dan moet het bijzonder goed gelukt zijn om die te verbergen gegeven het feit dat het algoritme zo weidverbreid is.
Je haalt hier het bedrijf RSA en het encryptiealgoritme door elkaar. Dat zijn twee aparte dingen, het algoritme is van ver voor de tijd van het bedrijf RSA, al zijn beide wel afkomstig van dezelfde mensen (Rivest, Shamir en Adleman)
Helaas kunnen dat soort diensten niet omgaan met replication conflicts. Een replication conflict in combinatie met een dergelijke tool zorgt ervoor dat je data onherroepelijk verloren is. Geen goed idee dus.....
Vroeg mij ook af hoe de Amerikaanse wetgeving hier kan dwarsbomen, maar propageren zij daarom niet het "Zero Knowledge" principe? Kan de Amerikaanse overheid bestanden opvragen waar SpiderOak gewoon geen toegang tot heeft?
SpiderOak, in tegenstelling to Dropbox, gaat inderdaad uit van een zero knowledge based policy. Dat betekent dat zij alleen versleutelde data opslaan, die encrypted zijn met een key die jouw computer nooit hoeft te verlaten (tenzij je zelf je wachtwoord vrijgeeft door het op hun website in te vullen, de mobiele app te gebruiken, of elders te (her)gebruiken). SpiderOak kan dus in princiepe op geen enkele manier bestanden overhandigen aan de overheid van de VS of welke overheid dan ook. Niemand van SpiderOak kan bij jou bestanden, en jij ook niet als je je wachtwoord kwijt raakt (er is dus geen recovery mogelijkheid). Ik zeg in princiepe omdat voor zover ik weet de propriatary encryptie algoritmes van SpiderOak nog niet zijn doorgelicht, en er theoretisch dus fouten in kunnen zitten die een overheid/inlichtingendienst zou kunnen misbruiken om de data te ontsleutelen.
Dan heb je natuurlijk (9 van de 10x) geen off-site locatie.
Iets wat met deze dienst wel het geval is.

100 euro per jaar voor 1 terabyte is nu volgens mij redelijk gemiddeld.
Voordeel van deze dienst is inderdaad de versleuteling, al helpt dat alleen maar bij afluisterpraktijken/data diefstal en helaas niet tegen besmettingen of andersinds corruptie van je files die bij de dienst kunnen optreden.

Volgens de site maken ze wel gebruik van versies, hierdoor ben je in theorie zelf wel gedekt tegen fouten of besmettingen.

[Reactie gewijzigd door GeeMoney op 5 februari 2015 09:49]

Wel leuk, 1TB, maar als je bestanden uit de cloud verdwijnen als je lokaal die bestanden verwijdert (wegens continuous syncing), dan zie ik de meerwaarde niet echt. Ik heb op mijn Macs namelijk geen schijven van 1TB.
Ik had deze vraag dus ook maar als ik naar de FAQ kijk van SpiderOak zelf:
Does SpiderOak delete files if I delete them from my computer?
No. SpiderOak never removes content from your backup without you explicitly requesting it. If you delete something from your computer, SpiderOak will move the item to the Deleted Items bin display within that device in the View tab Deleted items stay in the bin perpetually -- until you decide to intentionally remove them.
Het lijkt er dus op dat je veilig bestanden van je computer kan verwijderen, zonder dat het uit de cloud verwijderd wordt.

Verder is het ook nog zo dat SpiderOak versies bewaard van dezelfde bestanden. Daar kwam ik laatst ook achter haha.

Ik heb een creditcard aangevraagd en ga zeker gebruik maken van deze nieuwe abonnementen! :)
Nou ja, SpiderOak verplaatst ze dus wel naar een soort prullenbak. Dus je moet er zelf steeds aan denken om die prullenbak na te lopen op files die je wilt bewaren. :|
Ja dat is waar. Misschien maar een feature voorstellen waarin SpiderOak bestanden dan verplaatst naar een andere map?
Het is geen backup en geen 'infinity driver', dat zijn andere producten.

Maar mijn oplossing is om maar een deel van mijn folders en bestanden te syncen, dat kun je per folder en per bestand bepalen... Weet niet of dat bij SpiderOak kan, ik gebruik ownCloud.
Heeft iemand ervaring met de snelheden bij SpiderOak?
Ik vind online heel wat klachten over de transfer snelheid, maar weinig concrete cijfers hierover.
Ik heb geen snelheden gemeten, maar wel de prestaties van SpiderOak goed vergeleken met Dropbox. (oktober-december 2014). Ik heb zelf een bovengemiddelde internetverbinding dus dat is de bottleneck niet.

Wat mij opvalt, is dat SpiderOak eerst een aantal minuten moet 'nadenken' voordat het bestanden gaat sync'en en vervolgens veel trager is dan Dropbox.

Dit geeft regelmatig problemen als je afwisselend op meerdere apparaten werkt, zelfs als je steeds 5 minuten wacht na afsluiten van bestanden (zodat er gesynchroniseerd kan worden).

Ik vind SpiderOak daarom niet geschikt als cloud-opslag, hooguit als cloud backup dienst, en dan nog zou ik regelmatig controleren of er wel goed gesynchroniseerd wordt. Verder is de interface van de SpiderOak client onnodig chaotisch.

Tenslotte vind ik het onacceptabel dat (zowel bij SO als DB) al je data ter beschikking komt van in ieder geval de NSA. Want daar maak ik me weinig illusies over sinds Snowden. Dus ik kies nu bewust software die niet, net als pakweg EverNote, al je data in de VS parkeert.
@bvanaerde
Heb een paar maanden terug een hele berg cloud/sync-aanbieders getest voor mezelf. Kreeg bij SpiderOak 800 kb/s tot 1,8 MB/s aan snelheid, heb 100 Mbit liggen dus ik vond het te traag. App vond ik ook niet bepaald fijn, maar da's persoonlijk natuurlijk. Nomadesk haalde mijn maximale uploadsnelheid (is Europees), maar dat vond ik niet gebruiksvriendelijk / te vaag. Plek 2: Google en OneDrive met beide op zo'n 8 MB/s max. Bij OneDrive stond als notitie voor mezelf: 2 GB als max. filesize, dat is 5 TB bij Google. Dit kan snel veranderen dus check dit ook even zelf als het belangrijk is :)

[Reactie gewijzigd door 2Dutch op 5 februari 2015 11:45]

Mega geeft je 50 GB en encrypt standaard.
Denk niet dat Kim.Dot.Com meewerkt met de NSA en/of FBI.
Klopt, heb dat veel gebruikt maar de snelheden zijn de laatste tijd bedroevend, ik vermoed omdat het erg populair is geworden? Waar ik eerst gewoon de max van mijn lijn haalde, was de snelheid de laatste keren dat ik het gebruikte 1 tot 2 Mbit/s..er zat niet meer in :( Binnenkort eens kijken of ze dat weer op orde hebben, want 500 GB voor 100 euro per jaar (jaarabo) is best schappelijk.
Dat klinkt goed! Ik ben jarenlang klant van Spideroak geweest, maar vond het toch wat te duur worden. Met deze prijzen denk ik dat ik een dezer dagen weer een keer klant wordt. :)
Gratis 2GB synced data?
Lekker! :P
Scheelt weer in moeite als je van de ene laptop naar de volgende gaat.
Mooie service maar waarom niet gewoon de gratis varianten gebruiken met box-cryptor er over heen? Box-cryptor is een Duits product dus de drie letters uit Amerika kunnen er niet veel mee. Werk als een zonnetje op meerdere OS-en.

Google en MicroSoft hebben hun infrastructuur strak op orde dus hun betrouwbaarheid op dit vlak is voor mij een pre.

[Reactie gewijzigd door hamsteg op 5 februari 2015 09:40]

Interessant, nu nog zorgen dat meer applicaties support krijgen voor SpiderOak zoals DropBox dat ook al heeft bij b.v. 1Password etc. In 2011 is er al eens een verzoek neergelegd bij AgileBits maar dat is toen afgewezen omdat de SpiderOak niet geschikt zou zijn. Hopelijk gaat dat nog veranderen.

Overigens als je SpiderOak niet via hun eigen client aanspreekt maar via de web API dan staat er wel een leuke disclaimer:
IMPORTANT NOTE: Accessing your data remotely through the web is the only instance when your data does become readable; however, these machines are only accessible by a select number of SpiderOak employees. For continued zero-knowledge privacy we only recommend accessing your data through the SpiderOak client, as it downloads the data before decrypting it.
Waarom niet gewoon een API beschikbaar stellen die echt pas de boel decrypt op de client??

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True